元鉴
返回中文阅读流

Microsoft Azure Blog

Azure Files Entra-Only 身份:推进云原生身份与安全

我们很高兴宣布 Azure Files SMB 的 Entra-Only 身份已正式发布(GA)。借助原生 Microsoft Entra ID 认证,组织现可使用纯云原生身份,为 SMB 文件共享提供安全的基于身份的访问。

中文内容

已翻译official company source英文原文2026-05-19
我们很高兴地宣布,Azure Files SMB 的 Entra-Only 身份现已正式发布(GA)。借助原生 Microsoft Entra ID 身份验证,组织现在可以使用仅云原生身份,向 SMB 文件共享授予安全的、基于身份的访问权限。

我们很高兴地宣布,Azure Files SMB 的 Entra-Only 身份现已正式发布(GA)。借助原生 Microsoft Entra ID 身份验证,组织现在可以使用仅云身份,向 SMB 文件共享授予安全的、基于身份的访问权限。

这意味着不需要 Active Directory、混合同步或托管域控制器,从而在降低持续管理和维护成本的同时,显著简化架构。Entra-Only 身份通过高度集成的现代身份体验提升了 Azure Files——为安全、无缝且全面的云原生访问提供领先的、一流的标准。

随着客户希望迁移到 Azure Files,对本地 Active Directory 身份验证的依赖一直被视为实现完整云原生体验的关键障碍。Azure Files SMB 对 Entra-Only 身份的支持消除了这一障碍,使组织能够直接通过 Microsoft Entra ID 对用户和设备进行身份验证,帮助实现存储、计算和身份的现代化,同时与零信任原则保持一致。

仅 Entra 身份支持在 Azure Files 上实现无缝的虚拟桌面基础结构(VDI)配置文件管理,同时满足现代安全标准。在 Azure Virtual Desktop(AVD)中,内置的 B2B 支持进一步扩展了这一能力,使外部合作伙伴能够使用其现有身份访问 FSLogix 配置文件,而无需创建重复账户。

对于通用场景,这使得将本地 Windows 工作负载迁移到完全云原生平台成为可能,同时保留原生 SMB 兼容性,并提供高度集成的身份、安全和管理体验。用户无需域设置、VPN 或复杂的网络要求,即可从任何位置安全访问文件。这些能力共同帮助组织降低运营复杂性,同时强化其安全态势。

为什么选择 Azure Files 的仅 Entra 身份

  • 现代化、云原生身份,简化运营。对 Azure Files 的访问通过原生 Entra ID 身份验证以及客户端 Intune 集成进行保护,消除了身份生命周期维护与合规、VPN 和混合同步方面的开销,从而简化部署、降低维护开销并精简管理。
  • 与混合身份设置共存。拥有混合身份和云原生身份组合的组织,可以在逐步淘汰 Active Directory 的过程中同时使用此功能。
  • 从任何位置安全访问。用户可以通过已加入 Entra 的客户端访问文件共享,从而实现无缝远程办公,无需重复创建身份。
  • 扩展支持 MacOS 客户端(有限预览版)。安全文件共享访问扩展到现代 MacOS 客户端,这些客户端通过 Platform SSO 加入 Entra,使创意和跨平台工作负载能够使用基于 Entra 的身份与 Azure Files 集成。

Entra-Only 身份有哪些新增功能

  • 基于门户的 NTFS 权限管理:可直接从 Azure 门户为仅 Entra(以及混合)用户和组配置细粒度的文件和目录 ACL,无需加入域的客户端或旧版工具。现在,所有区域的所有用户均可使用此功能。
  • 扩展的 RBAC 支持以实现安全授权:现在可在有限区域内为仅 Entra 用户和组添加针对特定用户和组的共享级 RBAC。如需了解区域可用性,请在此处查看。

仅 Entra 身份如何与 Azure Files 配合使用

Diagram comparing hybrid and Entra-only identity authentication models for Azure Files SMB access.

此功能通过将 Microsoft Entra ID 作为主要的 Kerberos 密钥分发中心(KDC),对 SMB 身份验证进行了现代化改造。客户端直接通过 Microsoft Entra ID 进行身份验证,以获取云身份的 Kerberos 票证,从而无需 Active Directory 或 Entra Connect 同步。虽然 SMB 协议为保持兼容性而保持不变,但票证签发和身份验证完全由 Entra 处理。

工作原理:

  1. 访问文件共享时,客户端会向 Entra ID 请求用于 Azure Files 的 Kerberos 票证。
  1. 此票证包含基于云的安全标识符(SID),并在 SMB 会话建立过程中提交。
  1. Azure Files 会验证该票证并建立会话,从而实现安全的、基于身份的访问。授权仍继续使用 NTFS ACL,现在已扩展到仅限 Entra 的用户和组。权限可直接在 Azure 门户中管理,无需依赖已加入域的客户端或旧版工具。

综合来看,这既保留了 Kerberos 的安全性和规模化能力,又将身份控制完全转移到 Entra,从而实现向云原生文件访问的平滑过渡。

使用 Entra-Only 身份实现现代化的代表性工作负载

使用 Azure Files 和 Entra-Only 身份重新构想 VDI 部署

Entra-Only 身份通过为用户配置文件管理启用完全云原生的身份、计算和存储堆栈,简化并现代化了使用 Azure Files 的 VDI 部署。在 Azure Virtual Desktop(AVD)中,FSLogix 配置文件容器可以存储在 Azure Files Premium 上,并通过 Kerberos 使用基于 Microsoft Entra 的用户进行访问,从而保留安全、无缝的 SMB 访问。

为什么这很重要:

  • 它消除了对混合身份基础设施的依赖。
  • 它简化了部署。
  • 它降低了运营开销,尤其适用于分布式或远程办公团队。

以 Entra ID 作为身份验证权威,用户可以使用云原生身份登录其虚拟桌面并访问配置文件,从而在无需直视本地系统的情况下实现端到端单点登录。

通过在 Azure Files 中采用仅 Entra 的身份访问,WTW 已能够使用客户现有的 Entra 身份,在 AVD 上向客户交付保险应用程序。存储在 Azure File Shares 上的 FSLogix 配置文件容器可确保用户在连接到任何 AVD 主机时都能获得一致的配置文件体验。该解决方案消除了对传统域控制器和文件共享基础设施的依赖,取而代之的是由 AVD 主机和 Azure File Shares 支持的完全加入 Entra 的环境,从而形成更安全、更精简且复杂性更低的架构。——Gordon Griffin,Willis Tower Watson 技术总监

B2B 身份支持进一步扩展了 VDI 场景,允许外部用户访问桌面,并使用现有身份安全地加载其配置文件。二者结合,使组织能够提供一致、可扩展且安全的 VDI 体验,同时加速向完全云原生架构的转型。

Azure Files 中的仅 Entra 身份标志着在简化和保护现代桌面与应用程序环境方面迈出了重要一步。通过启用基于 Kerberos 的 Entra 用户访问,我们可以为客户提供真正的云原生体验,使身份、计算和存储全部位于 Azure 中,同时保持无缝的 SMB 兼容性。这显著降低了部署复杂性,并使组织能够以前所未有的速度采用安全、可扩展的 VDI 和文件访问解决方案。——Chuck Mikuzis,产品经理,Nerdio

简化现代员工队伍的文件共享

仅 Entra 身份简化了通用文件共享和信息工作者(IW)协作。对共享文件夹的访问直接通过 Entra ID 进行管理,从而在分布式团队之间实现一致的、由身份驱动的访问,而无需加入域的设备或连接到本地基础设施的网络。

这简化了入职和日常运营——可以通过 Entra 组向新用户授予访问权限,并且权限会在各个位置一致地执行。结合 NTFS ACL 门户支持,组织可以在现代化其访问模型的同时,保持熟悉的文件级安全性。

结果:

  • 更快的入职流程。
  • 降低帮助台开销。
  • 跨地域的无缝协作。

面向远程和分布式能源行业员工的无缝云原生访问

仅 Entra 身份使石油和天然气组织能够从远程和现场位置安全访问关键数据集,而无需依赖复杂的多域/多林 Active Directory 配置或混合基础设施。在海上钻井平台、勘探现场和全球办公室工作的工程师和地球科学家可以直接使用 Entra ID 进行身份验证并访问 Azure Files,从而消除对 VPN 的依赖,并提高低连接环境中的可靠性。

这种方法简化了部署和运维,同时保持企业级安全性和合规性。结合对瘦客户端和远程访问的支持,团队可以在大型数据集上进行实时协作,而无需管理分布式基础设施。

对 Azure Files 身份的持续投入

通过 Managed Identities 保护 Entra 原生应用程序访问(正式发布)

Managed Identities 支持将 Entra 原生应用程序访问引入 Azure Files,无需使用共享密钥或机密。应用程序、虚拟机或 Azure 服务可使用 Managed Identities,通过 Entra 颁发的 OAuth 令牌建立安全的 SMB 会话,从而减少凭据泛滥并简化访问。这有助于简化 DevOps 工作流,并支持在 Azure Kubernetes Service (AKS) 和企业应用程序之间实现可扩展集成。

为 MacOS 工作负载带来安全的云原生访问(限量预览)

对 MacOS 客户端的安全 Azure Files 支持,使创意设计团队和教育机构能够在各操作系统(OS)平台之间无缝工作,并获得不间断访问。设计师、媒体专业人士和高等教育从业者可以直接使用 Entra ID 进行身份验证并访问 SMB 文件共享,使 Mac 工作流与组织范围内使用的同一企业级身份保持一致。

Azure Files 仅 Entra 身份的下一步发展

原生 NTFS ACL 编辑体验

我们将继续增强权限管理体验,通过熟悉的客户端工作流,带来对直接编辑 NTFS ACL 的原生支持。这弥合了云环境与传统文件服务器环境之间的一个关键差距,使管理员和用户能够使用他们如今所依赖的相同工具和体验来管理细粒度的文件和目录权限。

在主权云环境中添加支持

我们正在努力将 Azure Files 的 Entra-Only 身份扩展到主权云区域,使高度受监管环境中的组织能够为 SMB 工作负载采用云原生身份。这将释放基于 SMB Kerberos 身份验证和集中式身份管理的相同优势,同时满足合规性和企业级监管要求。

开始使用 Entra-Only 身份以及 Azure Files 的其他投入

Azure Files SMB 的 Entra-Only 身份现已正式发布,支持 HDD 和 SSD 共享以及所有计费模式,且不收取额外费用。请查阅我们的文档以获取分步指导。让你的工作负载为未来做好准备!

如有关于在 MacOS 平台上启用的问题,请在此处注册。其他问题请联系 azurefiles@microsoft.com。

原文标题

Azure Files Entra-Only identities: Advancing cloud-native identity and security